JP5395938B1 - Cooperation service providing system and server device - Google Patents
Cooperation service providing system and server device Download PDFInfo
- Publication number
- JP5395938B1 JP5395938B1 JP2012211517A JP2012211517A JP5395938B1 JP 5395938 B1 JP5395938 B1 JP 5395938B1 JP 2012211517 A JP2012211517 A JP 2012211517A JP 2012211517 A JP2012211517 A JP 2012211517A JP 5395938 B1 JP5395938 B1 JP 5395938B1
- Authority
- JP
- Japan
- Prior art keywords
- service
- ciphertext data
- cooperation
- service device
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
Abstract
【課題】 連携装置上での連携情報の紐付を防止し、かつ連携装置上での後の監査・検証を可能にする連携サービス提供システム及びサーバ装置を提供すること。
【解決手段】 実施形態の連携サービス提供システム内の連携装置は、各サービス装置から送信される暗号文データを受けると、再暗号化鍵を用いて当該暗号文データを再暗号化処理して再暗号文データを生成する。また、暗号文データを送信したサービス装置とは別のサービス装置に再暗号文データを送信する。各サービス装置は、暗号文データと共に、別のサービス装置に記憶され、かつ当該暗号文データにより示されるIDにより特定される利用者の利用者情報を取得したい旨の要求を連携装置に送信する。また、連携装置から送信された再暗号文データを受けると、秘密鍵を用いて当該再暗号文データを復号してIDを取得した後に、利用者情報を読み出し、これを別のサービス装置に送信する。
【選択図】図1PROBLEM TO BE SOLVED: To provide a linkage service providing system and a server device that prevent linkage of linkage information on a linkage device and enable later auditing / verification on the linkage device.
Upon receiving ciphertext data transmitted from each service device, a cooperating device in the cooperating service providing system of the embodiment re-encrypts the ciphertext data by using a re-encryption key and re-encrypts the ciphertext data. Generate ciphertext data. Further, the re-ciphertext data is transmitted to a service device different from the service device that transmitted the ciphertext data. Each service device transmits, together with the ciphertext data, a request for acquiring the user information of the user stored in another service device and specified by the ID indicated by the ciphertext data to the cooperation device. When receiving the re-ciphertext data transmitted from the cooperation device, the re-ciphertext data is decrypted using the secret key to obtain the ID, and then the user information is read and transmitted to another service device. To do.
[Selection] Figure 1
Description
本発明の実施形態は、連携サービス提供システム及びサーバ装置に関する。 Embodiments described herein relate generally to a cooperative service providing system and a server device.
複数の装置が情報を相互に送受信して一つのサービスを提供するための連携サービス提供方式としては、各装置を他の装置と直接接続する方式と、ID変換機能及びログ機能等をもった共通バスを介して各装置を接続する方式とがある。この2つの方式のうち、前者の各装置を他の装置と直接接続する方式は、各装置間で相互に送受信される情報(以下、連携情報と表記する)を集約して管理するポイントがないため、後に送受信内容の検証・監査を行うことが難しい。このため、後者のID変換機能及びログ機能等をもった共通バスを介して各装置を接続する方式が望ましいとされている。 As a cooperative service provision method for multiple devices to send and receive information to each other and provide one service, a method of directly connecting each device to another device, a common with ID conversion function and log function, etc. There is a method of connecting each device via a bus. Of these two methods, the former method in which each device is directly connected to another device has no point to collect and manage information exchanged between the devices (hereinafter referred to as cooperation information). Therefore, it is difficult to verify / audit the contents of transmission / reception later. For this reason, it is considered desirable to connect the devices via a common bus having the latter ID conversion function and log function.
一般に各装置がもつ情報を識別するためのIDは、同一の情報を識別するためのIDであっても、ID自体は装置毎に異なっている。ID変換機能とは、ID自体は装置毎に異なっていたとしても、同一の情報を識別するためのIDであることを証明する機能である。なお、ID変換機能を実現させるための方式としては、テーブル参照方式と関数方式とがある。 In general, an ID for identifying information included in each device is an ID for identifying the same information, but the ID itself is different for each device. The ID conversion function is a function that proves that the ID is an ID for identifying the same information even if the ID itself is different for each apparatus. As a method for realizing the ID conversion function, there are a table reference method and a function method.
例えば、テーブル参照方式を適用した連携サービス提供技術としては、複数の装置を連携させる連携装置に予めテーブルを記憶しておき、各装置を連携させるときにこのテーブルを参照することで、複数の装置間でのIDの連携(すなわち、連携情報の送受信)を実現させる連携サービス提供技術がある。 For example, as a cooperation service providing technique to which the table reference method is applied, a table is stored in advance in a cooperation apparatus that cooperates with a plurality of apparatuses, and the plurality of apparatuses are referred to by referring to this table when the apparatuses are associated with each other. There is a cooperation service providing technology that realizes ID cooperation (that is, transmission / reception of cooperation information).
また、関数方式を適用した連携サービス提供技術としては、例えば、連携させる各装置の一方から送信されたIDを含む情報を、AESにおける秘密情報を用いて連携装置上で一度復号した後に、他方の装置向けのコードに再度変換して送信することで、複数の装置間でのIDの連携(すなわち、連携情報の送受信)を実現させる連携サービス提供技術がある。 In addition, as a cooperation service providing technology to which the function method is applied, for example, after the information including the ID transmitted from one of the devices to be cooperated is decrypted once on the cooperation device using the secret information in AES, the other There is a cooperation service providing technology that realizes ID cooperation (that is, transmission / reception of cooperation information) between a plurality of apparatuses by re-converting the apparatus code and transmitting it.
更に、関数方式を適用した連携サービス提供技術としては、連携情報に対して公開鍵暗号を用いることで、各装置間での連携情報の送受信を実現させる連携サービス提供技術がある。 Furthermore, as a cooperative service providing technology to which a function method is applied, there is a cooperative service providing technology that realizes transmission / reception of cooperative information between devices by using public key cryptography for the cooperative information.
ここで、公開鍵暗号系に関してプロキシ再暗号化(Proxy Re-Encryption)と呼ばれる技術について説明する。 Here, a technique called Proxy Re-Encryption regarding the public key cryptosystem will be described.
この技術の基本的なモデルは以下の鍵生成、暗号化、復号、再暗号化鍵生成、再暗号化の5つの関数(以下、アルゴリズムとも表記する)からなる。鍵生成、暗号化、復号の機能は通常の公開鍵暗号と同様である。 The basic model of this technique is composed of the following five functions (hereinafter also referred to as algorithms) of key generation, encryption, decryption, re-encryption key generation, and re-encryption. Key generation, encryption, and decryption functions are the same as those of ordinary public key encryption.
(鍵生成)KeyGen(1k)→(pk,sk)
鍵生成アルゴリズムKeyGenは、セキュリティパラメータ1kが入力されると、公開鍵pkと秘密鍵skの組(pk,sk)を出力する。
(Key generation) KeyGen (1 k ) → (pk, sk)
When the
(暗号化)Enc(pkA,m)→CA
暗号化アルゴリズムEncは、ユーザAの公開鍵pkAとメッセージmが入力されると、ユーザA宛の暗号文CAを出力する。
(Encryption) Enc (pk A , m) → C A
Encryption algorithm Enc, when the public key pk A and the message m of the user A is input, and outputs the ciphertext C A addressed to user A.
(復号)Dec(skA,CA)→m
復号アルゴリズムDecは、ユーザAの秘密鍵skAと、ユーザA宛の暗号文CAとが入力されると、メッセージmを出力する。
(Decryption) Dec (sk A , C A ) → m
The decryption algorithm Dec outputs a message m when the secret key sk A of the user A and the ciphertext C A addressed to the user A are input.
(再暗号化鍵生成)ReKeyGen(pkA,skA,pkB,skB)→rkA→B
再暗号化鍵生成アルゴリズムReKeyGenは、ユーザAの公開鍵pkA、ユーザAの秘密鍵skA、ユーザBの公開鍵pkB、ユーザBの秘密鍵skBが入力されると、再暗号化鍵rkA→Bを出力する。
(Re-encryption key generation) ReKeyGen (pk A , sk A , pk B , sk B ) → rk A → B
When the re-encryption key generation algorithm ReKeyGen is inputted with the public key pk A of the user A, the secret key sk A of the user A , the public key pk B of the user B, and the secret key sk B of the user B, the re-encryption key rk A → B is output.
(再暗号化)ReEnc(rkA→B,CA)→CB
再暗号化アルゴリズムReEncは、再暗号化鍵rkA→Bと、ユーザA宛の暗号文CAとが入力されると、ユーザB宛の暗号文CBを出力する。
(Re-encryption) ReEnc (rk A → B , C A ) → C B
Re-encryption algorithm ReEnc includes a re-encryption key rk A → B, if the ciphertext C A addressed to user A is inputted, and outputs the ciphertext C B addressed to the user B.
以上が基本的なモデルである。但し、再暗号化の実現方式に応じて、関数への入力が異なるモデルや、上記以外の関数や鍵を含むモデルも考えられている。 The above is the basic model. However, depending on the method of re-encryption, models with different input to functions and models including functions and keys other than the above are also considered.
例えば、再暗号化鍵生成アルゴリズムの入力において、ユーザBの秘密鍵skBを不要とした非相互作用的(non-interactive)と呼ばれるモデルや、ユーザAの秘密鍵skAに代えて、ユーザB宛の再暗号化鍵rkA→BとユーザCの秘密鍵skCとが入力されるモデルなども考えられている。 For example, in the input of the re-encryption key generation algorithm, a model called non-interactive that does not require the user B's secret key sk B or a user B's secret key sk A instead of the user B's secret key sk A A model in which the re-encryption key rk A → B addressed to the user and the secret key sk C of the user C are input is also considered.
また、再暗号化鍵rkA→Bで暗号文CA→CBの再暗号化を行える一方で、その逆の暗号文CB→CAの変換を行えない一方向性(unidirectional)と呼ばれるモデル、逆の変換も行える双方向性(bidirectional)と呼ばれるモデルなども知られている。なお、双方向性モデルでは、再暗号化鍵rkA→BをrkA⇔Bと表すことがある。 Also, the ciphertext C A → C B can be re-encrypted with the re-encryption key rk A → B , while the reverse ciphertext C B → C A cannot be converted, which is called unidirectional. There is also known a model, a model called bidirectional, which can perform reverse conversion. In the bidirectional model, the re-encryption key rk A → B may be expressed as rk A⇔B .
さらに、公開鍵暗号の中でもIDベース暗号に基づく方式も考えられている。その場合、マスター鍵生成のための関数セットアップ(Setup)が増え、鍵生成アルゴリズムKeyGenの入力にマスター鍵とIDが追加される。IDベース暗号において、公開鍵pkはIDそのものである。 Further, among public key cryptosystems, a scheme based on ID-based cryptography is also considered. In this case, the function setup (Setup) for generating the master key is increased, and the master key and ID are added to the input of the key generation algorithm KeyGen. In ID-based encryption, the public key pk is the ID itself.
具体的な方式の例としては、一方向性モデルでは非特許文献3,4に記載の方式が、双方向性モデルでは非特許文献5に記載の方式が、IDベース暗号では非特許文献6,7などに記載の方式がそれぞれ知られている。なお、実施形態では非特許文献8に記載の方式を参考にしている。
Specific examples of the method include a method described in
しかしながら、以上のような連携サービス提供技術では、連携装置上で連携情報(すなわち、ID)を紐付けることができるといった不都合や、各装置間での連携情報のやり取りの過程を、連携装置上で後に監査・検証することができないといった不都合がある。 However, with the above-described cooperation service providing technology, the inconvenience that the cooperation information (that is, ID) can be linked on the cooperation apparatus, and the process of exchange of the cooperation information between the apparatuses are performed on the cooperation apparatus. There is a disadvantage that it cannot be audited or verified later.
本発明が解決しようとする課題は、連携装置上での連携情報の紐付を防止し、かつ連携装置上での後の監査・検証を可能にする連携サービス提供システム及びサーバ装置を提供することである。 The problem to be solved by the present invention is to provide a linkage service providing system and a server device that prevent linkage of linkage information on the linkage device and enable later auditing / verification on the linkage device. is there.
実施形態の連携サービス提供システムは、再暗号化鍵発行装置と、利用者を識別するために発行されたIDを用いて前記利用者に対して各種サービスを提供する複数のサービス装置と、これら複数のサービス装置を連携させる連携装置とが通信可能に接続される。 The cooperative service providing system of the embodiment includes a re-encryption key issuing device, a plurality of service devices that provide various services to the user using an ID issued to identify the user, Are connected to each other so that they can communicate with each other.
前記連携装置は、第1記憶手段、第2記憶手段、第1生成手段、第1送信手段及び第2送信手段を備えている。 The cooperation apparatus includes a first storage unit, a second storage unit, a first generation unit, a first transmission unit, and a second transmission unit.
前記第1記憶手段は、前記再暗号化鍵発行装置及び前記各サービス装置の公開鍵を記憶する。 The first storage means stores the re-encryption key issuing device and the public key of each service device.
前記第2記憶手段は、前記各サービス装置から送信される暗号文データを平文データに復号せずに、別のサービス装置の秘密鍵を用いて復号可能にする再暗号化処理を実現させるための再暗号化鍵を記憶する。 The second storage means realizes a re-encryption process that enables decryption using the secret key of another service device without decrypting the ciphertext data transmitted from each service device into plaintext data. Store the re-encryption key.
前記第1生成手段は、前記各サービス装置から送信される暗号文データを受けると、前記記憶された再暗号化鍵を用いて当該暗号文データを再暗号化処理して再暗号文データを生成する。 When the first generation unit receives the ciphertext data transmitted from each service device, the first generation unit re-encrypts the ciphertext data using the stored re-encryption key and generates re-ciphertext data. To do.
前記第1送信手段は、前記暗号文データを送信したサービス装置とは別のサービス装置に前記生成された再暗号文データを送信する。 The first transmission means transmits the generated re-ciphertext data to a service device different from the service device that transmitted the ciphertext data.
前記第2送信手段は、前記各サービス装置に前記記憶された公開鍵を送信する。 The second transmission means transmits the stored public key to each service device.
前記各サービス装置は、第3記憶手段、第4記憶手段、第2生成手段、第3送信手段、取得手段、読出手段及び第4送信手段を備えている。 Each service device includes third storage means, fourth storage means, second generation means, third transmission means, acquisition means, reading means, and fourth transmission means.
前記第3記憶手段は、発行された前記IDを前記各サービス装置特有の利用者の情報を示す利用者情報に対応付けて記憶する。 The third storage means stores the issued ID in association with user information indicating user information unique to each service device.
前記第4記憶手段は、前記各サービス装置の秘密鍵を記憶する。 The fourth storage means stores a secret key of each service device.
前記第2生成手段は、前記利用者の操作に応じて、前記連携装置から送信された再暗号化鍵発行装置の公開鍵を用いて、当該利用者のIDを暗号化処理して暗号文データを生成する。 The second generation means encrypts the ID of the user by using the public key of the re-encryption key issuing device transmitted from the cooperation device in accordance with the operation of the user, and performs ciphertext data Is generated.
前記第3送信手段は、前記生成された暗号文データと共に、別のサービス装置に記憶され、かつ当該暗号文データにより示されるIDにより特定される利用者の利用者情報を取得したい旨の要求を前記連携装置に送信する。 The third transmitting means sends a request for acquiring user information of a user stored in another service device together with the generated ciphertext data and specified by an ID indicated by the ciphertext data. It transmits to the said cooperation apparatus.
前記取得手段は、前記連携装置から送信された再暗号文データを受けると、前記記憶された秘密鍵を用いて当該再暗号文データを復号し、前記暗号化されたIDを取得する。 Upon receiving the re-ciphertext data transmitted from the cooperation device, the acquisition means decrypts the re-ciphertext data using the stored secret key and acquires the encrypted ID.
前記読出手段は、前記取得されたIDに対応した利用者情報を前記第3記憶手段から読み出す。 The reading means reads user information corresponding to the acquired ID from the third storage means.
前記第4送信手段は、前記読み出された利用者情報を前記連携装置を介して別のサービス装置に送信する。 The fourth transmission unit transmits the read user information to another service device via the cooperation device.
[第1の実施形態]
図1は第1の実施形態に係る連携サービス提供システムの構成例を示す模式図である。連携サービス提供システム1は、図1に示すように、再暗号化鍵発行装置10、連携装置20、ID発行装置30及び複数のサービス装置S1,S2を備えている。
[First Embodiment]
FIG. 1 is a schematic diagram illustrating a configuration example of a cooperative service providing system according to the first embodiment. As shown in FIG. 1, the cooperative
なお、本実施形態では、説明の簡略化のためにサービス装置が2台であると仮定するが、サービス装置の台数はこれに限定されるものでない。また、ID発行装置30は、各サービス装置S1,S2を利用する利用者を識別するためのIDを発行し、このIDを前記各サービス装置に配布するものであるが、各サービス装置S1,S2を利用する利用者の情報(以下、「利用者情報」と表記)が当該IDと対応付けて記憶されていれば良いため、必ずしも必須の構成ではなく、IDの配布の手段は問わない(本実施形態の構成には無い外部から配布されていても良い)ものとする。
In the present embodiment, it is assumed that there are two service devices for the sake of simplicity of explanation, but the number of service devices is not limited to this. The
以下に、各装置10〜30,S1,S2の構成を具体的に説明する。
Hereinafter, the
再暗号化鍵発行装置10は、セキュリティパラメータ記憶部11、秘密鍵記憶部12、一時データ記憶部13、公開パラメータ生成部14、暗号化鍵/再暗号化鍵生成部15、通信部16及び制御部17を備えている。
The re-encryption
セキュリティパラメータ記憶部11は、鍵生成の公開パラメータを生成するために必要となるセキュリティパラメータを記憶する記憶装置である。セキュリティパラメータとは、例えば、公開パラメータを生成するときの条件を規定したしきい値である。
The security
秘密鍵記憶部12は、公開パラメータを用いて暗号化鍵/再暗号化鍵生成部15により生成された再暗号化鍵発行装置10自らの鍵ペア(公開鍵/秘密鍵)のうちの秘密鍵を記憶する記憶装置である。
The private
一時データ記憶部13は、暗号化鍵/再暗号化鍵生成部15により生成された自装置10の公開鍵や、公開パラメータ生成部14及び暗号化鍵/再暗号化鍵生成部15の処理途中及び処理結果等の一時データを記憶する記憶装置である。
The temporary
公開パラメータ生成部14は、セキュリティパラメータ記憶部11から読み出したセキュリティパラメータを用いて鍵生成の公開パラメータを生成する機能と、この公開パラメータを生成する処理の処理途中及び処理結果を一時データ記憶部13に書込む機能とをもっている。
The public
暗号化鍵/再暗号化鍵生成部15は、公開パラメータ生成部14により生成された公開パラメータを用いて自装置10の鍵ペアを生成する機能と、生成した鍵ペアのうちの秘密鍵を秘密鍵記憶部12に書込み、かつ生成した鍵ペアのうちの公開鍵を一時データ記憶部13に書込む機能とをもっている。また、暗号化鍵/再暗号化鍵生成部15は、秘密鍵記憶部12から読み出した再暗号化鍵発行装置10の秘密鍵と、後述する連携装置20から送信された各サービス装置S1,S2の公開鍵とを用いて再暗号化鍵を生成する機能と、この再暗号化鍵を生成する処理の処理途中及び処理結果を一時データ記憶部13に書込む機能とをもっている。
The encryption key / re-encryption
通信部16は、他の装置20,30,S1,S2と通信可能にするものであり、例えば、公開パラメータ生成部14により生成された公開パラメータや、暗号化鍵/再暗号化鍵生成部15により生成された自装置10の公開鍵や再暗号化鍵を連携装置20に送信する機能をもっている。また、通信部16は、再暗号化鍵発行装置10からの各種要求を連携装置20に送信する機能をもっている。
The
制御部17は、各部11〜16を制御する機能をもっている。
The
連携装置20は、公開パラメータ記憶部21、公開鍵記憶部22、再暗号化鍵記憶部23、一時データ記憶部24、再暗号化処理部25、通信部26及び制御部27を備えている。
The
公開パラメータ記憶部21は、再暗号化鍵発行装置10から送信された公開パラメータを記憶する記憶装置である。
The public
公開鍵記憶部22は、再暗号化鍵発行装置10や後述する各サービス装置S1,S2から送信された公開鍵を記憶する記憶装置である。
The public
再暗号化鍵記憶部23は、再暗号化鍵発行装置10から送信された再暗号化鍵を記憶する記憶装置である。
The re-encryption
一時データ記憶部24は、再暗号化処理部25の処理途中及び処理結果等の一時データを記憶する記憶装置である。
The temporary
再暗号化処理部25は、再暗号化鍵記憶部23から読み出した再暗号化鍵を用いて、各サービス装置S1,S2から送信された暗号文データを再暗号化する機能と、この再暗号化する処理の処理途中及び処理結果を一時データ記憶部24に書込む機能とをもっている。具体的には、再暗号化処理部25は、再暗号化鍵記憶部23から読み出した再暗号化鍵を用いて、一方のサービス装置(例えば、サービス装置S1)から送信された暗号文データを平文データに復号することなく、他方のサービス装置(例えば、サービス装置S2)向けの暗号文データに再暗号化する(すなわち、再暗号文データを生成する)機能をもっている。
The
通信部26は、他の装置10,30,S1,S2と通信可能にするものであり、例えば、再暗号化鍵発行装置10から送信された公開パラメータや、再暗号化鍵発行装置10及び各サービス装置S1,S2から送信された公開鍵や、再暗号化鍵発行装置10から送信された再暗号化鍵を対応した各記憶部21〜23に書込む機能と、再暗号化処理部25により再暗号化された再暗号文データを各サービス装置S1,S2に送信する機能とをもっている。また、通信部26は、他の装置10,30,S1,S2からの要求に応じて、公開パラメータや公開鍵を各装置10,30,S1,S2に送信する機能をもっている。
The
制御部27は、各部21〜26を制御する機能をもっている。
The
ID発行装置30は、ID発行情報記憶部31、ID発行部32、通信部33及び制御部34を備えている。
The
ID発行情報記憶部31は、ID発行部32により発行されたIDを記憶する記憶装置である。
The ID issue
ID発行部32は、各サービス装置S1,S2を利用する利用者を識別するためのユニークなIDを発行する機能と、発行したIDをID発行情報記憶部31に書込む機能とをもっている。
The
通信部33は、他の装置10,20,S1,S2と通信可能にするものであり、例えば、ID発行部32により発行されたIDを各サービス装置S1,S2に配布する機能をもっている。
The
制御部34は、各部31〜33を制御する機能をもっている。
The control unit 34 has a function of controlling the
次に、各サービス装置S1,S2の具体的な構成について説明するが、以下では、説明の簡略化のために、サービス装置S1の構成を代表例として説明する。 Next, specific configurations of the service devices S 1 and S 2 will be described. In the following, the configuration of the service device S 1 will be described as a representative example to simplify the description.
サービス装置S1は、利用者情報記憶部S11、秘密鍵記憶部S12、一時データ記憶部S13、暗号化処理部S14、復号処理部S15、サービス処理部S16、サービス連携要求部S17、通信部S18及び制御部S19を備えている。
The service device S 1 includes a user information
利用者情報記憶部S11は、ID発行装置30から配布されたIDをサービス装置S1を利用する利用者の情報(利用者情報)に対応付けて記憶する記憶装置である。
The user information
秘密鍵記憶部S12は、公開パラメータを用いて暗号化処理部S14により生成された自装置S1の鍵ペアのうちの秘密鍵を記憶する記憶装置である。 The secret key storage unit S 12 is a storage device that stores the secret key of the key pair of the own device S 1 generated by the encryption processing unit S 14 using the public parameter.
一時データ記憶部S13は、暗号化処理部S14により生成された自装置S1の公開鍵や、暗号化処理部S14及び復号処理部S15の処理途中及び処理結果等の一時データを記憶する記憶装置である。 Temporary data storage S 1 3, the public key of and the own apparatus S 1 generated by the encryption processing unit S 1 4, the encryption processing unit S 1 4 and the decoding processing unit S 1 5 of intermediate processing and processing result Is a storage device for storing temporary data.
暗号化処理部S14は、連携装置20から送信された公開パラメータを用いて自装置S1の鍵ペアを生成する機能と、生成した鍵ペアのうちの秘密鍵を秘密鍵記憶部S12に書込み、かつ生成した鍵ペアのうちの公開鍵を一時データ記憶部S13に書込む機能とをもっている。また、暗号化処理部S14は、連携装置20から送信された再暗号化鍵発行装置10の公開鍵を用いて、平文データ(例えば、利用者情報記憶部S11に記憶されたID等)を暗号化処理することにより暗号文データを生成する機能と、この暗号文データを生成する処理の処理途中及び処理結果を一時データ記憶部S13に書込む機能とをもっている。
The encryption
復号処理部S15は、秘密鍵記憶部S12から読み出した秘密鍵を用いて、連携装置20から送信された再暗号文データを復号する機能と、この復号する処理の処理途中及び処理結果を一時データ記憶部S13に書込む機能とをもっている。
The decryption processing unit S 1 5 uses a secret key read from the secret key storage unit S 12 to decrypt the re-ciphertext data transmitted from the
サービス処理部S16は、利用者からの要求に応じて、サービスを提供する機能をもっている。 Service processing unit S 1 6, in response to a request from the user, has the function of providing services.
サービス連携要求部S17は、他のサービス装置が有する情報を取得したい旨を通信部S18を介して連携装置20に要求する機能をもっている。
Service cooperation requesting unit S 1 7 has a function of requesting the
通信部S18は、他の装置10〜30,S2と通信可能にするものであり、例えば、ID発行装置30から配布されたIDを利用者情報に対応付けて利用者情報記憶部S11に書込む機能と、暗号化処理部S14により生成された公開鍵や暗号文データを連携装置20に送信する機能とをもっている。また、通信部S18は、サービス装置S1からの各種要求を連携装置20に送信する機能をもっている。
Communication unit S 1 8, the
制御部S19は、各部S11〜S18を制御する機能をもっている。
The
なお、各サービス装置S1,S2では、利用者に対してそれぞれユニークなサービスを提供するため、他のサービス装置と利用者情報を共有していない。 Each service device S 1 and S 2 does not share user information with other service devices in order to provide a unique service to the user.
次に、以上のように構成された連携サービス提供システム1の動作の一例を図2乃至図5のシーケンス図を用いて説明する。
Next, an example of the operation of the cooperative
以下の動作は、(1)事前処理(2)連携処理の手順で実行され、(1)事前処理は、(1−1)鍵生成処理、(1−2)ID発行処理、(1−3)再暗号化鍵生成処理の手順で実行される。但し、事前処理は必ずしも上記手順で処理を実行しなくてもよい。例えば、ID発行処理は鍵生成処理の前に実行されてもよい。 The following operations are executed in the procedure of (1) pre-processing (2) cooperation processing, (1) pre-processing includes (1-1) key generation processing, (1-2) ID issuance processing, (1-3 ) It is executed in the re-encryption key generation processing procedure. However, the pre-processing does not necessarily have to be executed according to the above procedure. For example, the ID issuing process may be executed before the key generating process.
(1)鍵生成処理は、再暗号化鍵発行装置10及び各サービス装置S1,S2により、図2及び以下の各ステップST1〜ST21に示すように実行される。
(1) The key generation process is executed by the re-encryption
始めに、再暗号化鍵発行装置10内の公開パラメータ生成部14は、公開パラメータ(p,λ,G,GT,g,u,v,Sig)を生成する(ステップST1)。具体的には、公開パラメータ生成部14は、予めセキュリティパラメータ記憶部11に記憶したセキュリティパラメータλに基づいて、素数位数p>2λを満たす双線型写像群(bilinear map groups)(G,GT)、生成元g,u,v∈G、強偽造不可能性を満たす使い捨て署名(one-time signature)
First, the public
使い捨て署名については非特許文献10に詳しい。また、G,GTは楕円曲線で定義される群集合であり、次式に示す如きペアリング関数に用いられる。
ペアリング関数:e(g1,g2)=gT
但し、g1,g2∈G、gT∈GT
このペアリング関数は、次式に示す如き性質がある。
Pairing function: e (g 1 , g 2 ) = g T
Where g 1 , g 2 ∈ G, g T ∈ G T
This pairing function has the following properties.
e(ga,g)=e(g,ga)=e(g,g)a
但し、g∈G、a∈Zp
続いて、通信部16は、公開パラメータ生成部14により生成された公開パラメータ(p,λ,G,GT,g,u,v,Sig)を連携装置20に送信する(すなわち、他の装置20,30,S1,S2に対して公開パラメータを公開する)(ステップST2)。
e (g a, g) = e (g, g a) = e (g, g) a
However, g∈G, a∈Z p
Subsequently, the
次に、連携装置20内の通信部26は、再暗号化鍵発行装置10から送信された公開パラメータ(p,λ,G,GT,g,u,v,Sig)を受けると、この公開パラメータを公開パラメータ記憶部21に書込む(登録する)(ステップST3)。
Next, upon receiving the public parameters (p, λ, G, G T , g, u, v, Sig) transmitted from the re-encryption
続いて、再暗号化鍵発行装置10内の通信部16は、連携装置20に対して公開パラメータを配布するよう要求する(ステップST4)。
Subsequently, the
次に、連携装置20内の通信部26は、ステップST4における再暗号化鍵発行装置10からの要求を受けると、公開パラメータ記憶部21に記憶された公開パラメータ(p,λ,G,GT,g,u,v,Sig)を再暗号化鍵発行装置10に送信する(ステップST5)。
Next, the
続いて、再暗号化鍵発行装置10内の暗号化鍵/再暗号化鍵生成部15は、連携装置20から送信された公開パラメータ(p,λ,G,GT,g,u,v,Sig)を通信部16を介して受けると、この公開パラメータを用いて再暗号化鍵発行装置10の鍵ペアを生成する(ステップST6)。具体的には、暗号化鍵/再暗号化鍵生成部15は、再暗号化鍵発行装置10の識別情報をiとしたとき、再暗号化鍵発行装置10の秘密鍵xi∈Zp *を生成し、この秘密鍵xiを用いて再暗号化鍵発行装置10の公開鍵
Subsequently, the encryption key / re-encryption
を生成する。 Is generated.
次に、暗号化鍵/再暗号化鍵生成部15は、ステップST6において生成した自装置10の鍵ペアのうちの秘密鍵xiを秘密鍵記憶部12に書込み、かつ生成した自装置10の鍵ペアのうちの公開鍵Xiを一時データ記憶部13に書込む(ステップST7)。
Next, the encryption key / re-encryption
続いて、通信部16は、一時データ記憶部13内の公開鍵Xiを連携装置20に送信する(すなわち、他の装置20,30,S1,S2に対して公開鍵Xiを公開する)(ステップST8)。
Subsequently, the
しかる後、連携装置20内の通信部26は、再暗号化鍵発行装置10から送信された再暗号化鍵発行装置10の公開鍵Xiを受けると、この公開鍵を公開鍵記憶部22に書込む(登録する)(ステップST9)。
Thereafter, upon receiving the public key Xi of the re-encryption
また同様に、サービス装置S1は、サービス装置S1の鍵ペアについてもステップST4〜ST9と同様の処理を実行して、サービス装置S1内の秘密鍵記憶部S12に秘密鍵xjを書込むと共に、連携装置20に公開鍵Xjを送信することで、連携装置20内の公開鍵記憶部22にサービス装置S1の公開鍵Xjを登録する(ステップST10〜ST15)。
Similarly, the service device S 1 executes the same processing as step ST4~ST9 also keypair service apparatus S 1, the secret key in the secret
更に、サービス装置S2は、サービス装置S2の鍵ペアについてもステップST4〜ST9と同様の処理を実行して、サービス装置S2内の秘密鍵記憶部S22に秘密鍵xkを書込むと共に、連携装置20に公開鍵Xkを送信することで、連携装置20内の公開鍵記憶部22にサービス装置S2の公開鍵Xkを登録する(ステップST16〜ST21)。
Furthermore, the service device S 2 executes the same processing as step ST4~ST9 also keypair service device S 2, writing a secret key x k in the secret
以上により、鍵生成処理が完了する。以降、各装置10〜30,S1,S2は、連携装置20内の公開パラメータ記憶部21及び公開鍵記憶部22に公開された公開パラメータ及び公開鍵を適宜取得して、利用することができる。
Thus, the key generation process is completed. Thereafter, each of the
(1−2)ID発行処理は、ID発行装置30により、図3及び以下の各ステップST31〜ST35に示すように実行される。
(1-2) The ID issuing process is executed by the
始めに、ID発行装置30内のID発行部32は、各サービス装置S1,S2を利用する利用者を識別するためのIDを発行し、発行したIDをID発行情報記憶部31に書込む(ステップST31)。
First, the
続いて、通信部33は、ID発行情報記憶部31に記憶されたIDをサービス装置S1に配布する(ステップST32)。
Subsequently, the
しかる後、サービス装置S1内の通信部S18は、ID発行装置30から配布されたIDを受けると、このIDを利用者情報に対応付けて利用者情報記憶部S11に書込む(ステップST33)。
Thereafter, upon receiving the ID distributed from the
また同様に、ID発行装置30内の通信部33は、サービス装置S2に対してステップST32と同様の処理を実行し(ステップST34)、サービス装置S2内の通信部S28は、ステップST33と同様の処理を実行して、IDを利用者情報に対応付けて利用者情報記憶部S21に書込む(ステップST35)。
Similarly, the
以上により、ID発行処理が完了する。 Thus, the ID issuing process is completed.
(1−3)再暗号化鍵生成処理は、再暗号化鍵発行装置10により、図4及び以下の各ステップST41〜ST45に示すように実行される。但し、ここでは、再暗号化鍵発行装置10向けの暗号文データをサービス装置S2向けの暗号文データに変換する再暗号化鍵を生成する処理について説明する。
(1-3) The re-encryption key generation process is executed by the re-encryption
始めに、再暗号化鍵発行装置10内の通信部16は、連携装置20に対して公開パラメータとサービス装置S2の公開鍵とを配布するよう要求する(ステップST41)。
First, the
続いて、連携装置20内の通信部26は、ステップST41における再暗号化鍵発行装置10からの要求を受けると、公開パラメータ記憶部21に記憶された公開パラメータ(p,λ,G,GT,g,u,v,Sig)と、公開鍵記憶部22に記憶されたサービス装置S2の公開鍵Xkとを再暗号化鍵発行装置10に送信する(ステップST42)。
Subsequently, upon receiving a request from the re-encryption
次に、再暗号化鍵発行装置10内の暗号化鍵/再暗号化鍵生成部15は、公開パラメータ(p,λ,G,GT,g,u,v,Sig)とサービス装置S2の公開鍵Xkとを通信部16を介して受けると、取得した情報と秘密鍵記憶部12から読み出した自装置10の秘密鍵xiとを用いて、再暗号化鍵発行装置10向けの暗号文データをサービス装置S2向けの暗号文データに変換するための再暗号化鍵
Next, the encryption key / re-encryption
を生成する(ステップST43)。 Is generated (step ST43).
続いて、通信部16は、生成した再暗号化鍵Rikを連携装置20に送信する(ステップST44)。
Subsequently, the
しかる後、連携装置20内の通信部26は、再暗号化鍵発行装置10から送信された再暗号化鍵Rikを受けると、この再暗号化鍵を再暗号化鍵記憶部23に書込む(登録する)(ステップST45)。
Thereafter, upon receiving the re-encryption key R ik transmitted from the re-encryption
以上により、再暗号化鍵生成処理が完了する。なお、ここでは、再暗号化鍵発行装置10向けの暗号文データをサービス装置S2向けの暗号文データに変換する再暗号化鍵を生成するとしたが、これに限定されず、再暗号化鍵発行装置10向けの暗号文データをサービス装置S1向けの暗号文データに変換する再暗号化鍵を生成してもよい。
Thus, the re-encryption key generation process is completed. Here, the re-encryption key for converting the ciphertext data for the re-encryption
(2)連携処理は、連携装置20及び各サービス装置S1,S2により、図5及び以下の各ステップST51〜ST62に示すように実行される。
(2) The cooperation process is executed by the
始めに、サービス装置S1内の通信部S18は、利用者からの要求に応じて、連携装置20に対して公開パラメータと再暗号化鍵発行装置10の公開鍵とを配布するよう要求する(ステップST51)。
First , the communication unit S 1 8 in the service device S 1 requests the
続いて、連携装置20内の通信部26は、ステップST51におけるサービス装置S1からの要求に応じて、公開パラメータ記憶部21に記憶された公開パラメータ(p,λ,G,GT,g,u,v,Sig)と、公開鍵記憶部22に記憶された再暗号化鍵発行装置10の公開鍵Xiとをサービス装置S1に送信する(ステップST52)。
Subsequently, the
次に、サービス装置S1内の暗号化処理部S14は、公開パラメータ(p,λ,G,GT,g,u,v,Sig)と公開鍵Xiとを通信部S18を介して受けると、ステップST51における利用者に対応したIDを利用者情報記憶部S11から読み出す(ステップST53)。
Then, the service
続いて、暗号化処理部S14は、利用者情報記憶部S11から読み出したIDを再暗号化鍵発行装置10の公開鍵Xiを用いて暗号化処理して暗号文データを生成する(ステップST54)。
Subsequently, the encryption processing unit S 14 generates the ciphertext data by encrypting the ID read from the user information storage unit S 11 using the public key X i of the re-encryption
ここで、以下の各ステップST54−1〜ST54−4に示すように、暗号化処理部S14による暗号化処理について具体的に説明する。
Here, as shown in the following steps ST54-1~ST54-4, specifically described encryption processing by the
始めに、暗号化処理部S14は、公開パラメータにおけるセキュリティパラメータλ及び鍵ペア生成機能 First, the encryption processing unit S 14 has a security parameter λ and key pair generation function in the public parameters.
を生成し(ステップST54−1)、第1暗号化データC1に検証鍵svkをセットする(C1=svk)。 It generates (step ST54-1), and sets the verification key svk the first encrypted data C 1 (C 1 = svk).
また、暗号化処理部S14は、第1乱数r∈Zp *を生成した後に、この第1乱数rに基づき、平文データとしてのID∈GT に対して、以下の第2、第3及び第4暗号化データC2,C3,C4を生成する(ステップST54−2)。
Also, the
具体的には、暗号化処理部S14は、再暗号化鍵発行装置10の公開鍵Xiと、第1乱数rとに基づいて、第2暗号化データC2を生成する。また、暗号化処理部S14は、公開パラメータにおける生成元gと、第1乱数rと、IDとに基づき、ペアリング関数によって第3暗号化データC3を生成する。更に、暗号化処理部S14は、公開パラメータにおける生成元u,vと、生成した検証鍵svkと、第1乱数rとに基づいて、第4暗号化データC4を生成する。
Specifically, the encryption processing unit S 14 generates the second encrypted data C 2 based on the public key X i of the re-encryption
ステップST54−2の終了後、暗号化処理部S14は、第3及び第4暗号化データC3,C4に対し、公開パラメータにおける署名生成機能
After step ST54-2, the
しかる後、暗号化処理部S14は、これら第1乃至第4暗号化データC1〜C4と使い捨て署名σとを含む暗号文データCi=(C1,C2,C3,C4,σ)を生成し、得られた暗号文データを一時データ記憶部S13に書き込む(ステップST54−4)。 Thereafter, the encryption processing unit S 14 receives the ciphertext data C i = (C 1 , C 2 , C 3 , C) including the first to fourth encrypted data C 1 to C 4 and the disposable signature σ. 4 , σ) is generated, and the obtained ciphertext data is written in the temporary data storage unit S 13 (step ST54-4).
以上のように、ステップST54−1〜ST54−4の処理が完了することで暗号文データが生成される。 As described above, ciphertext data is generated by completing the processes of steps ST54-1 to ST54-4.
ステップST54の後に、サービス連携要求部S17は、暗号化処理部S14により生成された暗号文データを用いて、サービス装置S2が保有する情報の取得を通信部S18を介して連携装置20に対して要求する(ステップST55)。 After step ST54, service cooperation requesting unit S 1 7, using the encrypted data generated by the encryption processing unit S 1 4, via the communication unit S 1 8 to acquire information service device S 2's Request to the cooperation device 20 (step ST55).
次に、連携装置20内の再暗号化処理部25は、ステップST55におけるサービス装置S1からの要求と暗号文データとを通信部26を介して受けると、予め再暗号化鍵記憶部23に記憶した再暗号化鍵Rikを用いて当該暗号文データを再暗号化する(ステップST56)。
Then,
ここで、以下の各ステップST56−1〜ST56−3に示すように、再暗号化処理部25による再暗号化処理について具体的に説明する。
Here, as shown in the following steps ST56-1 to ST56-3, the re-encryption processing by the
始めに、再暗号化処理部25は、公開パラメータと次の検証式を用い、暗号文データCkiを検証する(ステップST56−1)。ここで、2つの検証式が成立すれば検証は成功し、1つでも成立しない検証式があれば検証は失敗する。
First, the
再暗号化処理部25は、検証に成功すると、第2乱数t∈Zp *を生成し、次式に示すように、第1、第2及び第3再暗号化データC2 ’,C2 ’’,C2 ’’’を生成する(ステップST56−2)。
If the
具体的にはステップST56−2において、再暗号化処理部25は、再暗号化鍵発行装置10の公開鍵Xiと、第2乱数tとに基づいて、第1再暗号化データC2 ’を生成する。また、再暗号化処理部25は、再暗号化鍵Rik及び第2乱数tに基づいて、第2再暗号化データC2 ’’を生成する。更に、再暗号化処理部25は、第2暗号化データC2及び第2乱数tに基づいて、第3再暗号化データC2 ’’’を生成する。
Specifically, in step ST56-2, the
ステップST56−2の終了後、再暗号化処理部25は、これら第1乃至第3再暗号化データC2 ’〜C2 ’’’を、暗号文データCi内の第2暗号化データC2と置換して再暗号文データCk=(C1,C2 ’,C2 ’’,C2 ’’’,C3,C4,σ)を生成し、得られた再暗号文データを一時データ記憶部24に書込む(ステップST56−3)。
After the end of step ST56-2, the
以上のように、ステップST56−1〜ST56−3の処理が完了することで再暗号文データが生成される。 As described above, re-ciphertext data is generated by completing the processing of steps ST56-1 to ST56-3.
ステップST56の後に、通信部26は、生成した再暗号文データCkをサービス装置S2に送信し(ステップST57)、この再暗号文データを用いてサービス装置S2が保有する情報の取得を要求する。
After step ST56, the
続いて、サービス装置S2内の復号処理部S25は、連携装置20から送信された再暗号文データCkを通信部S28を介して受けると、予め秘密鍵記憶部S12に記憶した秘密鍵xkを用いて再暗号文データを復号し、IDを取得する(ステップST58)。
Subsequently, the service apparatus decoding section S 2 5 in S 2, when the re-encrypted data C k transmitted from the
ここで、以下の各ステップST58−1〜ST58−2に示すように、復号処理部S25による復号処理について具体的に説明する。 Here, as shown in the following steps ST58-1~ST58-2, specifically described decoding processing by the decoding processing unit S 2 5.
始めに、復号処理部S25は、公開パラメータ及び自装置S2の公開鍵Xkと次の検証式を用い、再暗号文データCkを検証する(ステップST58−1)。ここで、3つの検証式が成立すれば検証は成功し、1つでも成立しない検証式があれば検証は失敗する。 First, the decoding processing unit S 2 5 uses the public parameters and the self-device public key X k and the next verification equation of S 2, verifies the re-encrypted data C k (step ST58-1). Here, if three verification expressions are satisfied, the verification is successful, and if any one verification expression is not satisfied, the verification fails.
復号処理部S25は、検証に成功すると、自装置S2の秘密鍵xkに基づいて、次式に示すように、再暗号文データCkからIDを復号する(ステップST58−2)。 Decoding section S 2 5 succeeds in verification, based on the secret key x k of the apparatus S 2, as shown in the following equation, decodes the ID from the re-encrypted data C k (step ST58-2) .
以上のように、ステップST58−1〜ST58−2の処理が完了することでIDが取得される。 As described above, the ID is acquired by completing the processes of steps ST58-1 to ST58-2.
ステップST58の後に、サービス装置S2内のサービス処理部S26は、復号処理部S25により復号されたIDに対応する利用者情報を利用者情報記憶部S21から読み出す(ステップST59)。
After step ST58, the
次に、通信部S28は、サービス処理部S26により読み出された利用者情報を連携情報として連携装置20に送信する(ステップST60)。
Next, the communication unit S 2 8 sends the user information read out by the
続いて、連携装置20内の通信部26は、サービス装置S2から送信された連携情報を受けると、この連携情報をサービス装置S1に送信する(ステップST61)。
Subsequently, the
しかる後、サービス装置S1内の通信部S18は、連携装置20から送信された連携情報を受信する。これによりサービス装置S1は連携情報を取得する(ステップST62)。
Thereafter, the communication unit S 1 8 in the service device S 1 receives the cooperation information transmitted from the
以上説明した第1の実施形態によれば、再暗号化処理部25を含む連携装置20と、暗号化処理部S14,S24、復号処理部S15,S25及びサービス連携要求部S17,S27を含む複数のサービス装置S1,S2とを備えた構成により、連携装置20が各サービス装置S1,S2間での連携情報のやり取りの過程でIDを紐付けることができないため、連携情報に対してのセキュリティ性を向上させることができる。
According to the first embodiment described above, the
また、再暗号化鍵発行装置10及び連携装置20が有する情報を用いて(すなわち、各サービス装置S1,S2の秘密情報を必要とせずに)、各サービス装置S1,S2間での連携情報のやり取りの過程を後に監査・検証することができる。
Further, by using the information re-encryption
なお、本実施形態では、各サービス装置S1,S2内の利用者情報記憶部S11,S21に記憶されたIDを再暗号化方式を用いて暗号化したが、これに限定されず、例えばIDを共通暗号化方式を用いて暗号化した後に、この共通鍵を再暗号化方式を用いて暗号化するハイブリッド暗号を適用してもよい。
In the present embodiment, the IDs stored in the user information
[変形例]
以下に、第1の実施形態の変形例について、図6,図7のシーケンス図を用いて説明する。この変形例は、ID発行装置30において発行された利用者のIDから生成したコード(配布される前のコードが請求項2における第1のコードにあたる)を各サービス装置S1,S2に配布して、このコードを用いて連携処理を実行するものである。なお、(1−1)鍵生成処理と(1−3)再暗号化鍵生成処理とは、前述した第1の実施形態と同一であるため、ここでは詳細な説明を省略する。
[Modification]
Below, the modification of 1st Embodiment is demonstrated using the sequence diagram of FIG. 6, FIG. In this modification, a code generated from the user ID issued by the ID issuing device 30 (the code before distribution corresponds to the first code in claim 2) is distributed to each service device S 1 , S 2 . Thus, the cooperation process is executed using this code. Since (1-1) key generation processing and (1-3) re-encryption key generation processing are the same as those in the first embodiment described above, detailed description thereof is omitted here.
以下、前述した第1の実施形態とは異なる(1−2´)コード配布処理と(2´)連携処理とについて説明する。 Hereinafter, (1-2 ′) code distribution processing and (2 ′) cooperation processing different from those of the first embodiment described above will be described.
(1−2´)コード配布処理は、連携装置20、ID発行装置30及び各サービス装置S1,S2により、図6及び以下の各ステップST71〜ST79に示すように実行される。
(1-2 ′) The code distribution process is executed by the
始めに、ID発行装置30内のID発行部32は、各サービス装置S1,S2を利用する利用者を識別するためのIDを発行し、発行したIDをID発行情報記憶部31に書込む(ステップST71)。
First, the
続いて、通信部33は、連携装置20に対して再暗号化鍵発行装置10の公開鍵を配布するよう要求する(ステップST72)。
Subsequently, the
次に、連携装置20内の通信部26は、ステップST72におけるID発行装置30からの要求を受けると、公開鍵記憶部22に記憶された再暗号化鍵発行装置10の公開鍵XiをID発行装置30に送信する(ステップST73)。
Next, when receiving the request from the
続いて、ID発行装置30内のID発行部32は、連携装置20から送信された再暗号化鍵発行装置10の公開鍵Xiを通信部33を介して受けると、この公開鍵を用いてID発行情報記憶部31に記憶したIDを暗号化処理してサービス装置S1向けの第1コード(請求項2における第1のコード)を生成した後に、生成した第1コードとこの第1コードを生成するときに用いた各種パラメータ(以下、第1パラメータと表記)とをID発行情報記憶部31に書込む(ステップST74)。なお、ステップST74の処理は、ID発行情報記憶部31に記憶したID全てに対して実行される。
Subsequently, when the
次に、通信部33は、ID発行情報記憶部31に記憶した複数の第1コードと第1パラメータとをサービス装置S1に送信する(ステップST75)。
Next, the
しかる後、サービス装置S1内の通信部S18は、ID発行装置30から送信された第1コードと第1パラメータとを受けると、これらを利用者情報に対応付けて利用者情報記憶部S11に書込む(ステップST76)。
Thereafter, when the communication unit S 1 8 in the service device S 1 receives the first code and the first parameter transmitted from the
また同様に、ID発行装置30内のID発行部32は、サービス装置S2向けの第2コード(請求項2における第1のコード)についてもステップST74〜ST76と同様の処理を実行して、第2コードを生成した後に、この第2コードとこの第2コードを生成するときに用いた各種パラメータ(以下、第2パラメータと表記)とをサービス装置S2に送信する。その後、サービス装置S2内の通信部S28は、ID発行装置30から送信された第2コードと第2パラメータとを受けると、これらを利用者情報に対応付けて利用者情報記憶部S21に書込む(ステップST77〜ST79)。
Similarly,
以上により、コード配布処理が完了する。 This completes the code distribution process.
(2´)連携処理は、連携装置20及び各サービス装置S1,S2により、図7及び以下の各ステップST81〜ST93に示すように実行される。
(2 ′) The cooperation process is executed by the
始めに、サービス装置S1内の暗号化処理部S14は、利用者からの要求に応じて、この利用者の利用者情報に対応付けられた第1コードを利用者情報記憶部S11から読み出す(ステップST81)。
First, in response to a request from the user, the encryption
続いて、サービス連携要求部S17は、暗号化処理部S14により読み出された第1コードを用いて、サービス装置S2が保有する情報の取得を通信部S18を介して連携装置20に対して要求する(ステップST82)。 Subsequently, the service cooperation requesting unit S 1 7, using the first code read by the encryption processing unit S 1 4, via the communication unit S 1 8 to acquire information service device S 2's A request is made to the cooperation apparatus 20 (step ST82).
次に、連携装置20内の再暗号化処理部25は、ステップST82におけるサービス装置S1からの要求と第1コードとを通信部26を介して受けると、予め再暗号化鍵記憶部23に記憶した再暗号化鍵Rikを用いて第1コードを再暗号化する(すなわち、再暗号文データを生成する)(ステップST83)。
Then,
続いて、通信部26は、生成した再暗号文データをサービス装置S2に送信し(ステップST84)、この再暗号文データを用いてサービス装置S2が保有する情報の取得を要求する。
Subsequently, the
次に、サービス装置S2内の復号処理部S25は、連携装置20から送信された再暗号文データを通信部S28を介して受けると、予め秘密鍵記憶部S22に記憶した秘密鍵xkを用いて再暗号文データを復号し、IDを取得する(ステップST85)。
Then, the service device decoding section S 2 5 in the S 2 receives via the communication unit S 2 8 re encrypted data sent from the
続いて、通信部S28は、連携装置20に対して再暗号化鍵発行装置10の公開鍵を配布するよう要求する(ステップST86)。
Subsequently, the communication unit S 2 8 requests to distribute a public key of re-encryption
次に、連携装置20内の通信部26は、ステップST86におけるサービス装置S2からの要求を受けると、公開鍵記憶部22に記憶された再暗号化鍵発行装置10の公開鍵Xiをサービス装置S2に送信する(ステップST87)。
Next, the
続いて、サービス装置S2内の暗号化処理部S24は、連携装置20から送信された再暗号化鍵発行装置10の公開鍵Xiを通信部S28を介して受けると、この公開鍵と予め利用者情報記憶部S21に記憶した第2パラメータとを用いて、ステップST85において復号されたIDを暗号化処理して、サービス装置S2向けの第2´コード(請求項2における第2のコード)を生成する(ステップST88)。
Subsequently, the encryption processing section S 2 4 in the service device S 2 receives via the communication unit S 2 8 the public key X i of the re-encryption
次に、サービス処理部S26は、生成した第2´コードと、予め利用者情報記憶部S21に記憶してあり読み出した第2コードとを比較して、一致するコードから利用者を特定する(ステップST89)。 Next, the service processor S 2 6 includes a 2'nd code generated, by comparing the second code read there is stored in advance in the user information storage unit S 2 1, the user from the matching code Is identified (step ST89).
続いて、サービス処理部S26は、特定した利用者の利用者情報と暗号化処理部S24により生成された第2´コードとを対応付けて利用者情報記憶部S21に書込む(ステップST90)。 Subsequently, the service processing unit S 2 6 are written in the user information storage unit S 2 1 associates the 2'nd code generated by the user information and the encryption processing section S 2 4 of the identified user (Step ST90).
次に、通信部S28は、サービス処理部S26により利用者情報記憶部S21に記憶した利用者情報を連携情報として連携装置20に送信する(ステップST91)。
Next, the communication unit S 2 8 sends the user information stored in user
続いて、連携装置20内の通信部26は、サービス装置S2から送信された連携情報を受けると、この連携情報をサービス装置S1に送信する(ステップST92)。
Subsequently, the
しかる後、サービス装置S1内の通信部S18は、連携装置20から送信された連携情報を受信する。これにより、サービス装置S1は連携情報を取得する(ステップST93)。
Thereafter, the communication unit S 1 8 in the service device S 1 receives the cooperation information transmitted from the
以上説明した第1の実施形態の変形例によれば、前述した第1の実施形態と同様に、再暗号化処理部25を含む連携装置20と、暗号化処理部S14,S24、復号処理部S15,S25及びサービス連携要求部S17,S27を含む複数のサービス装置S1,S2とを備えた構成により、連携装置20が各サービス装置S1,S2間での連携情報のやり取りの過程でIDを紐付けることができないため、連携情報に対してのセキュリティ性を向上させることができる。
According to the modification of the first embodiment described above, as in the first embodiment described above, the
また、再暗号化鍵発行装置10及び連携装置20が有する情報を用いて(すなわち、各サービス装置S1,S2の秘密情報を必要とせずに)、各サービス装置S1,S2間での連携情報のやり取りの過程を後に監査・検証することができる。
Further, by using the information re-encryption
なお、第1の実勢形態の更なる変形例として、図8に示すような構成の連携サービス提供システムを適用することも可能である。この構成は、前述した図1に示す構成をより簡略化したものであり、例えば図9に示すように動作することが可能である。 As a further modification of the first actual form, it is also possible to apply a cooperative service providing system configured as shown in FIG. This configuration is a simplification of the configuration shown in FIG. 1 described above, and can operate as shown in FIG. 9, for example.
このように構成を簡略化することにより、連携装置20上で監査を行うときには若干の不都合があるものの、連携サービス提供システムを実現するために必要となるシステムコストを低減させることができる。
By simplifying the configuration in this way, the system cost required to realize the cooperative service providing system can be reduced, although there are some disadvantages when auditing is performed on the
[第2の実施形態]
図10は第2の実施形態に係る連携サービス提供システムの構成例を示す模式図であり、この連携サービス提供システム1´は前述した第1の実施形態とは異なり、連携サービス提供システム1内からID発行装置30を除いた構成となっている。本実施形態は、前述した第1の実施形態の変形例であり、各サービス装置S1,S2間において連携する仕組みが既に存在するとした上で、連携処理の際に、各サービス装置S1,S2間でやり取りするデータを保護するものである。また、各サービス装置S1,S2内の連携情報記憶部S11´,S21´は、前述した第1の実施形態の利用者情報記憶部S11,S21とは異なり、連携情報(第1の実施形態の利用者情報に相当)を利用者に対応付けて記憶していればよく、利用者を識別するためのIDを必ずしも記憶していなくてもよい。
[Second Embodiment]
FIG. 10 is a schematic diagram illustrating a configuration example of the cooperative service providing system according to the second embodiment. This cooperative
以下、前述した第1の実施形態とは異なる(2´´)連携処理について説明する。 Hereinafter, (2 ″) cooperation processing different from the above-described first embodiment will be described.
(2´´)連携処理は、連携装置20及び各サービス装置S1,S2により、図11及び以下の各ステップST101〜ST113に示すように実行される。
(2 ″) Cooperation processing is executed by the
始めに、サービス装置S1内のサービス連携要求部S17は、利用者からの要求に応じて、サービス装置S2が保有する情報の取得を通信部S18を介して連携装置20に対して要求する(ステップST101)。
First, service cooperation requesting unit S 1 7 in the service device S 1 in response to a request from the user, the service device S 2 via the communication unit S 1 8 to acquire information held by the
続いて、連携装置20内の通信部26は、ステップST101におけるサービス装置S1からの要求を受けると、例えば従来の手法を用いて、各サービス装置S1,S2間を連携させる連携処理を実行する(ステップST102)。
Subsequently, the
次に、通信部26は、ステップST102におけるサービス装置S1からの要求をサービス装置S2に送信する(ステップST103)。
Next, the
続いて、サービス装置S2内の通信部S28は、連携装置20から送信されたサービス装置S1の要求を受けると、ステップST101における利用者に対応した連携情報を連携情報記憶部S21´から読み出す(ステップST104)。
Subsequently, the communication unit S 2 8 in the service device S 2 receives the request for transmission service device S 1 from the
次に、通信部S28は、連携装置20に対して再暗号化鍵発行装置10の公開鍵を配布するよう要求する(ステップST105)。
Next, the communication unit S 2 8 requests to distribute a public key of re-encryption
続いて、連携装置20内の通信部26は、ステップST105におけるサービス装置S2から送信された要求を受けると、公開鍵記憶部22に記憶された再暗号化鍵発行装置10の公開鍵Xiをサービス装置S2に送信する(ステップST106)。
Subsequently, the
次に、サービス装置S2内の暗号化処理部S24は、連携装置20から送信された再暗号化鍵発行装置10の公開鍵Xiを通信部S28を介して受けると、この公開鍵を用いてステップST104において読み出した連携情報を暗号化処理して暗号文データを生成する(ステップST107)。
Next, the encryption processing section S 2 4 in the service device S 2 receives via the communication unit S 2 8 the public key X i of the re-encryption
続いて、通信部S28は、生成した暗号文データを連携装置20に送信する(ステップST108)。 Subsequently, the communication unit S 2 8 transmits the generated ciphertext data to the cooperation apparatus 20 (step ST 108).
次に、連携装置20内の通信部26は、サービス装置S2から送信された暗号文データを受けると、ステップST102の処理と同様に、各サービス装置S1,S2間を連携させる連携処理を実行する(ステップST109)。
Next, when the
続いて、再暗号化処理部25は、予め再暗号化鍵記憶部23に記憶した再暗号化鍵Rijを用いて通信部26により受信された暗号文データを再暗号化処理して再暗号文データを生成する(ステップST110)。
Subsequently, the
次に、通信部26は、再暗号化処理部25により生成された再暗号文データをサービス装置S1に送信する(ステップST111)。
Next, the
続いて、サービス装置S1内の復号処理部S15は、連携装置20から送信された再暗号文データを通信部S18を介して受けると、予め秘密鍵記憶部S12に記憶した秘密鍵xjを用いて再暗号文データを復号する(ステップST112)。
Subsequently, the service decoding section S 1 5 in the apparatus S 1 receives via the communication unit S 1 8 re encrypted data sent from the
しかる後、サービス装置S1は、連携情報を取得する(ステップST113)。 Thereafter, the service device S 1 obtains binding information (step ST113).
以上説明した第2の実施形態によれば、再暗号化処理部25を含む連携装置20と、連携情報記憶部S11´,S21´、暗号化処理部S14,S24、復号処理部S15,S25及びサービス連携要求部S17,S27を含む複数のサービス装置S1,S2とを備えた構成により、連携装置20が各サービス装置S1,S2間での連携情報のやり取りの過程で連携情報を紐付けることができない上に、各サービス装置S1,S2において連携情報を暗号化するため、連携情報に対してのセキュリティ性をより向上させることができる。
According to the second embodiment described above, the
また、再暗号化鍵発行装置10及び連携装置20が有する情報を用いて(すなわち、各サービス装置S1,S2の秘密情報を必要とせずに)、各サービス装置S1,S2間での連携情報のやり取りの過程を後に監査することができる。
Further, by using the information re-encryption
なお、本実施形態では、各サービス装置S1,S2内の連携情報記憶部S11´,S21´に記憶された連携情報を再暗号化方式を用いて暗号化したが、これに限定されず、例えば連携情報を共通暗号化方式を用いて暗号化した後に、この共通鍵を再暗号化方式を用いて暗号化するハイブリッド暗号を適用してもよい。 In this embodiment, the cooperation information stored in the cooperation information storage units S 1 1 ′ and S 2 1 ′ in the service devices S 1 and S 2 is encrypted using the re-encryption method. However, the present invention is not limited thereto, and for example, a hybrid cipher that encrypts the common information using the common encryption method and then encrypts the common key using the re-encryption method may be applied.
以上説明した少なくともひとつの実施形態によれば、再暗号化処理部25を含む連携装置20と、暗号化処理部S14,S24、復号処理部S15,S25及びサービス連携要求部S17,S27を含む複数のサービス装置S1,S2とを備えた構成により、連携装置上での連携情報の紐付を防止し、かつ連携装置上での後の監査・検証を可能にすることができる。
According to at least one of the embodiments described above, the
なお、上記の各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。 Note that the methods described in the above embodiments are, as programs that can be executed by a computer, magnetic disks (floppy (registered trademark) disks, hard disks, etc.), optical disks (CD-ROMs, DVDs, etc.), magneto-optical disks. (MO), stored in a storage medium such as a semiconductor memory, and distributed.
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。 In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form.
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。 In addition, an OS (operating system) running on a computer based on an instruction of a program installed in the computer from a storage medium, MW (middleware) such as database management software, network software, and the like realize the above-described embodiment. A part of each process may be executed.
さらに、各実施形態における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。 Furthermore, the storage medium in each embodiment is not limited to a medium independent of a computer, but also includes a storage medium in which a program transmitted via a LAN, the Internet, or the like is downloaded and stored or temporarily stored.
また、記憶媒体は1つに限らず、複数の媒体から上記の各実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。 Further, the number of storage media is not limited to one, and the case where the processing in each of the above embodiments is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.
なお、各実施形態におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記の各実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。 Note that the computer in each embodiment executes each process in each of the above embodiments based on a program stored in a storage medium. Any configuration of the system or the like may be used.
また、各実施形態におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。 In addition, the computer in each embodiment is not limited to a personal computer, and includes an arithmetic processing device, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. Yes.
なお、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 In addition, although some embodiment of this invention was described, these embodiment is shown as an example and is not intending limiting the range of invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the scope and gist of the invention, and are included in the invention described in the claims and the equivalents thereof.
1,1´…連携サービス提供システム、10…再暗号化鍵発行装置、11…セキュリティパラメータ記憶部、12…秘密鍵記憶部、13…一時データ記憶部、14…公開パラメータ生成部、15…暗号化鍵/再暗号化鍵生成部、16…通信部、17…制御部、20…連携装置、21…公開パラメータ記憶部、22…公開鍵記憶部、23…再暗号化鍵記憶部、24…一時データ記憶部、25…再暗号化処理部、26…通信部、27…制御部、30…ID発行装置、31…ID発行情報記憶部、32…ID発行部、33…通信部、34…制御部、S1,S2…サービス装置、S11,S21…利用者情報記憶部、S11´,S21´…連携情報記憶部、S12,S22…秘密鍵記憶部、S13,S23…一時データ記憶部、S14,S24…暗号化処理部、S15,S25…復号処理部、S16,S26…サービス処理部、S17,S27…サービス連携要求部、S18,S28…通信部、S19,S29…制御部。
DESCRIPTION OF
Claims (5)
前記連携装置は、
前記再暗号化鍵発行装置及び前記各サービス装置の公開鍵を記憶する第1記憶手段と、
前記各サービス装置から送信される暗号文データを平文データに復号せずに、別のサービス装置の秘密鍵を用いて復号可能にする再暗号化処理を実現させるための再暗号化鍵を記憶する第2記憶手段と、
前記各サービス装置から送信される暗号文データを受けると、前記記憶された再暗号化鍵を用いて当該暗号文データを再暗号化処理して再暗号文データを生成する第1生成手段と、
前記暗号文データを送信したサービス装置とは別のサービス装置に前記生成された再暗号文データを送信する第1送信手段と、
前記各サービス装置に前記記憶された公開鍵を送信する第2送信手段と
を備え、
前記各サービス装置は、
発行された前記IDを前記各サービス装置特有の利用者の情報を示す利用者情報に対応付けて記憶する第3記憶手段と、
前記各サービス装置の秘密鍵を記憶する第4記憶手段と、
前記利用者の操作に応じて、前記連携装置内の第1記憶手段に記憶された再暗号化鍵発行装置の公開鍵を用いて生成された当該利用者のIDが暗号化された暗号文データと共に、別のサービス装置に記憶され、かつ当該暗号文データにより示されるIDにより特定される利用者の利用者情報を取得したい旨の要求を前記連携装置に送信する第3送信手段と、
前記連携装置から送信された再暗号文データを受けると、前記記憶された秘密鍵を用いて当該再暗号文データを復号し、前記暗号化されたIDを取得する取得手段と、
前記取得されたIDに対応した利用者情報を前記第3記憶手段から読み出す読出手段と、
前記読み出された利用者情報を前記連携装置を介して別のサービス装置に送信する第4送信手段と
を備えたことを特徴とするサービス連携提供システム。 A re-encryption key issuing device, a plurality of service devices that provide various services to the user using an ID issued to identify the user, and a cooperation device that links the plurality of service devices Is a collaborative service providing system that is communicably connected,
The cooperation device
First storage means for storing the re-encryption key issuing device and the public key of each service device;
Stores a re-encryption key for realizing a re-encryption process that enables decryption using a secret key of another service device without decrypting the ciphertext data transmitted from each service device into plaintext data Second storage means;
Upon receiving the ciphertext data transmitted from each service device, first generation means for re-encrypting the ciphertext data using the stored re-encryption key to generate re-ciphertext data;
First transmitting means for transmitting the generated re-ciphertext data to a service device different from the service device that transmitted the ciphertext data;
Second transmission means for transmitting the stored public key to each service device;
Each service device is
Third storage means for storing the issued ID in association with user information indicating user information specific to each service device;
Fourth storage means for storing a secret key of each service device;
Ciphertext data in which the ID of the user generated by using the public key of the re-encryption key issuing device stored in the first storage means in the cooperation device is encrypted according to the user's operation And a third transmission means for transmitting a request to the user to obtain user information of a user stored in another service device and specified by the ID indicated by the ciphertext data, to the cooperation device;
Upon receiving the re-ciphertext data transmitted from the cooperation device, an acquisition unit that decrypts the re-ciphertext data using the stored secret key and obtains the encrypted ID;
Reading means for reading user information corresponding to the acquired ID from the third storage means;
A service cooperation providing system comprising: fourth transmission means for transmitting the read user information to another service device via the cooperation device.
前記連携装置は、
前記再暗号化鍵発行装置及び前記各サービス装置の公開鍵を記憶する第1記憶手段と、
前記各サービス装置から送信される暗号文データを平文データに復号せずに、別のサービス装置の秘密鍵を用いて復号可能にする再暗号化処理を実現させるための再暗号化鍵を記憶する第2記憶手段と、
前記各サービス装置から送信される暗号文データを受けると、前記記憶された再暗号化鍵を用いて当該暗号文データを再暗号化処理して再暗号文データを生成する第1生成手段と、
前記暗号文データを送信したサービス装置とは別のサービス装置に前記生成された再暗号文データを送信する第1送信手段と、
前記各サービス装置に前記記憶された公開鍵を送信する第2送信手段と
を備え、
前記各サービス装置は、
発行された前記IDであって、当該サービス装置に特有な第1のコードと紐付けられているIDを前記各サービス装置特有の利用者の情報を示す利用者情報に対応付けて記憶する第3記憶手段と、
前記各サービス装置の秘密鍵を記憶する第4記憶手段と、
前記利用者の操作に応じて、前記連携装置内の第1記憶手段に記憶された再暗号化鍵発行装置の公開鍵を用いて生成された当該利用者のIDおよび当該IDに紐付いた前記第1のコードが暗号化された暗号文データと共に、別のサービス装置に記憶され、かつ当該暗号文データにより示されるIDにより特定される利用者の利用者情報を取得したい旨の要求を前記連携装置に送信する第3送信手段と、
前記連携装置から送信された再暗号文データを受けると、前記記憶された秘密鍵を用いて当該再暗号文データを復号し、前記暗号化されたIDを取得する取得手段と、
前記復号されたIDを暗号化して第2のコードを生成する暗号化・生成手段と、
前記第1のコードに対応した利用者情報を前記第3記憶手段から読み出す読出手段と、
前記第1のコードと前記第2のコードとを比較し、前記利用者情報を特定する特定手段と、
前記読み出された利用者情報を前記連携装置を介して別のサービス装置に送信する第4送信手段と
を備えたことを特徴とするサービス連携提供システム。 A re-encryption key issuing device, a plurality of service devices that provide various services to the user using an ID issued to identify the user, and a cooperation device that links the plurality of service devices Is a collaborative service providing system that is communicably connected,
The cooperation device
First storage means for storing the re-encryption key issuing device and the public key of each service device;
Stores a re-encryption key for realizing a re-encryption process that enables decryption using a secret key of another service device without decrypting the ciphertext data transmitted from each service device into plaintext data Second storage means;
Upon receiving the ciphertext data transmitted from each service device, first generation means for re-encrypting the ciphertext data using the stored re-encryption key to generate re-ciphertext data;
First transmitting means for transmitting the generated re-ciphertext data to a service device different from the service device that transmitted the ciphertext data;
Second transmission means for transmitting the stored public key to each service device;
Each service device is
A third ID stored in association with user information indicating user information unique to each service device, which is the issued ID and associated with the first code unique to the service device; Storage means;
Fourth storage means for storing a secret key of each service device;
In response to the user's operation, the ID of the user generated using the public key of the re-encryption key issuing device stored in the first storage means in the cooperation device and the first associated with the ID. A request for acquiring user information of a user that is stored in another service device together with the encrypted text data in which one code is encrypted and that is specified by the ID indicated by the encrypted text data. A third transmission means for transmitting to
Upon receiving the re-ciphertext data transmitted from the cooperation device, an acquisition unit that decrypts the re-ciphertext data using the stored secret key and obtains the encrypted ID;
Encryption / generation means for encrypting the decrypted ID to generate a second code;
Reading means for reading user information corresponding to the first code from the third storage means;
A means for comparing the first code and the second code to identify the user information;
A service cooperation providing system comprising: fourth transmission means for transmitting the read user information to another service device via the cooperation device.
前記サーバ装置は、
前記再暗号化鍵発行装置及び前記各サービス装置の公開鍵を記憶する第3記憶手段と、
前記各サービス装置から送信される暗号文データを平文データに復号せずに、別のサービス装置の秘密鍵を用いて復号可能にする再暗号化処理を実現させるための再暗号化鍵を記憶する第4記憶手段と、
前記各サービス装置から送信される暗号文データを受けると、前記記憶された再暗号化鍵を用いて当該暗号文データを再暗号化処理して再暗号文データを生成する第2生成手段と、
前記暗号文データを送信したサービス装置とは別のサービス装置に前記生成された再暗号文データを送信する第3送信手段と、
前記各サービス装置に前記記憶された公開鍵を送信する第4送信手段と
を備えたことを特徴とするサーバ装置。 A re-encryption key issuing device, a plurality of service devices that provide various services to the user using an ID issued to identify the user, and a cooperation device that links the plurality of service devices Are connected so as to be communicable, and each service device stores the issued ID in association with user information indicating user information specific to each service device; and Using the second storage means for storing the secret key and the public key of the re-encryption key issuing device transmitted from the cooperation device in accordance with the operation of the user, the ID of the user is encrypted. First generating means for generating ciphertext data, and user information of the user that is stored in another service device together with the generated ciphertext data and specified by the ID indicated by the ciphertext data Upon receiving the first transmission means for transmitting a request for acquisition to the cooperation device and the re-ciphertext data transmitted from the cooperation device, the re-ciphertext data is decrypted using the stored secret key. Obtaining means for obtaining the encrypted ID; reading means for reading user information corresponding to the obtained ID from the first storage means; and A server device in the cooperative service providing system comprising a second transmitting means for transmitting to another service device via
The server device
Third storage means for storing the re-encryption key issuing device and the public key of each service device;
Stores a re-encryption key for realizing a re-encryption process that enables decryption using a secret key of another service device without decrypting the ciphertext data transmitted from each service device into plaintext data A fourth storage means;
Receiving the ciphertext data transmitted from each service device, a second generation means for re-encrypting the ciphertext data using the stored re-encryption key and generating re-ciphertext data;
Third transmission means for transmitting the generated re-ciphertext data to a service device different from the service device that transmitted the ciphertext data;
A server device comprising: fourth transmission means for transmitting the stored public key to each service device.
前記連携装置は、
前記再暗号化鍵発行装置及び前記各サービス装置の公開鍵を記憶する第1記憶手段と、
前記各サービス装置から送信される暗号文データを平文データに復号せずに、別のサービス装置の秘密鍵を用いて復号可能にする再暗号化処理を実現させるための再暗号化鍵を記憶する第2記憶手段と、
前記各サービス装置から送信される暗号文データを受けると、前記記憶された再暗号化鍵を用いて当該暗号文データを再暗号化処理して再暗号文データを生成する第1生成手段と、
前記暗号文データを送信したサービス装置とは別のサービス装置に前記生成された再暗号文データを送信する第1送信手段と、
前記各サービス装置に前記記憶された公開鍵を送信する第2送信手段と
を備え、
前記各サービス装置は、
前記各サービス装置間で連携させる連携情報を前記利用者に対応付けて記憶する第3記憶手段と、
前記各サービス装置の秘密鍵を記憶する第4記憶手段と、
前記利用者の操作に応じて、前記連携装置から送信された再暗号化鍵発行装置の公開鍵を用いて、当該利用者に対応付けられた連携情報を暗号化処理して暗号文データを生成する第2生成手段と、
前記生成された暗号文データを前記連携装置に送信する第3送信手段と、
前記連携装置から送信された再暗号文データを受けると、前記記憶された秘密鍵を用いて当該再暗号文データを復号し、前記暗号化された連携情報を取得する取得手段と
を備えたことを特徴とする連携サービス提供システム。 A re-encryption key issuing device, a plurality of service devices that provide various services to a user, and a cooperation service providing system in which a cooperation device that links these plurality of service devices is communicably connected,
The cooperation device
First storage means for storing the re-encryption key issuing device and the public key of each service device;
Stores a re-encryption key for realizing a re-encryption process that enables decryption using a secret key of another service device without decrypting the ciphertext data transmitted from each service device into plaintext data Second storage means;
Upon receiving the ciphertext data transmitted from each service device, first generation means for re-encrypting the ciphertext data using the stored re-encryption key to generate re-ciphertext data;
First transmitting means for transmitting the generated re-ciphertext data to a service device different from the service device that transmitted the ciphertext data;
Second transmission means for transmitting the stored public key to each service device;
Each service device is
Third storage means for storing link information to be linked between the service devices in association with the user;
Fourth storage means for storing a secret key of each service device;
In response to the user's operation, using the public key of the re-encryption key issuing device transmitted from the cooperation device, the cooperation information associated with the user is encrypted to generate ciphertext data. Second generating means for
Third transmission means for transmitting the generated ciphertext data to the cooperation device;
And receiving means for receiving the re-ciphertext data transmitted from the cooperation device, decrypting the re-ciphertext data using the stored secret key, and acquiring the encrypted cooperation information. A collaborative service providing system characterized by
前記サーバ装置は、
前記再暗号化鍵発行装置及び前記各サービス装置の公開鍵を記憶する第3記憶手段と、
前記各サービス装置から送信される暗号文データを平文データに復号せずに、別のサービス装置の秘密鍵を用いて復号可能にする再暗号化処理を実現させるための再暗号化鍵を記憶する第4記憶手段と、
前記各サービス装置から送信される暗号文データを受けると、前記記憶された再暗号化鍵を用いて当該暗号文データを再暗号化処理して再暗号文データを生成する第2生成手段と、
前記暗号文データを送信したサービス装置とは別のサービス装置に前記生成された再暗号文データを送信する第3送信手段と、
前記各サービス装置に前記記憶された公開鍵を送信する第4送信手段と
を備えたことを特徴とするサーバ装置。 A re-encryption key issuing device, a plurality of service devices that provide various services to a user, and a cooperation device that links the plurality of service devices are connected to be able to communicate with each other, In accordance with the operation of the user, a first storage unit that stores association information to be linked between service devices in association with the user, a second storage unit that stores a secret key of each service device, and First generation means for generating ciphertext data by encrypting the cooperation information associated with the user using the public key of the re-encryption key issuing apparatus transmitted from the cooperation apparatus; When receiving the re-ciphertext data transmitted from the cooperation device, the first transmission means for transmitting the ciphertext data to the cooperation device, and decrypting the re-ciphertext data using the stored secret key, The dark The server apparatus cooperative service providing system provided with an acquisition unit that acquires reduction has been cooperation information,
The server device
Third storage means for storing the re-encryption key issuing device and the public key of each service device;
Stores a re-encryption key for realizing a re-encryption process that enables decryption using a secret key of another service device without decrypting the ciphertext data transmitted from each service device into plaintext data A fourth storage means;
Receiving the ciphertext data transmitted from each service device, a second generation means for re-encrypting the ciphertext data using the stored re-encryption key and generating re-ciphertext data;
Third transmission means for transmitting the generated re-ciphertext data to a service device different from the service device that transmitted the ciphertext data;
A server device comprising: fourth transmission means for transmitting the stored public key to each service device.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012211517A JP5395938B1 (en) | 2012-09-25 | 2012-09-25 | Cooperation service providing system and server device |
PCT/JP2013/069179 WO2014050262A1 (en) | 2012-09-25 | 2013-07-12 | Linkage service provision system and server device |
CN201380049570.3A CN104704770B (en) | 2012-09-25 | 2013-07-12 | Partner services provide system and server unit |
SG11201502283WA SG11201502283WA (en) | 2012-09-25 | 2013-07-12 | Cooperation service providing system and server apparatus |
US14/668,347 US9813386B2 (en) | 2012-09-25 | 2015-03-25 | Cooperation service providing system and server apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012211517A JP5395938B1 (en) | 2012-09-25 | 2012-09-25 | Cooperation service providing system and server device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5395938B1 true JP5395938B1 (en) | 2014-01-22 |
JP2014068165A JP2014068165A (en) | 2014-04-17 |
Family
ID=50112327
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012211517A Active JP5395938B1 (en) | 2012-09-25 | 2012-09-25 | Cooperation service providing system and server device |
Country Status (5)
Country | Link |
---|---|
US (1) | US9813386B2 (en) |
JP (1) | JP5395938B1 (en) |
CN (1) | CN104704770B (en) |
SG (1) | SG11201502283WA (en) |
WO (1) | WO2014050262A1 (en) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10027640B2 (en) * | 2015-09-22 | 2018-07-17 | Qualcomm Incorporated | Secure data re-encryption |
CN109074463A (en) | 2016-04-27 | 2018-12-21 | 三菱电机株式会社 | Attribute cooperation device, conveyer system, attribute collaboration method and attribute program interoperability |
JP2018042203A (en) * | 2016-09-09 | 2018-03-15 | 株式会社東芝 | Information processing device, server device, information processing system, mobile body, and information processing method |
CN107911223B (en) * | 2017-11-23 | 2021-03-09 | 上海众人网络安全技术有限公司 | Cross signature method and device |
US11362824B2 (en) * | 2018-05-25 | 2022-06-14 | Intertrust Technologies Corporation | Content management systems and methods using proxy reencryption |
CN113316765B (en) * | 2019-01-09 | 2022-11-04 | 维萨国际服务协会 | Methods, systems, and computer program products for network binding agent re-encryption and PIN translation |
US20230176242A1 (en) | 2020-05-06 | 2023-06-08 | Exxonmobil Upstream Research Company | Framework for integration of geo-information extraction, geo-reasoning and geologist-responsive inquiries |
CN114125831B (en) * | 2022-01-25 | 2022-05-03 | 国网浙江省电力有限公司信息通信分公司 | 5G smart grid user side data acquisition method and system based on proxy re-encryption |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6141753A (en) * | 1998-02-10 | 2000-10-31 | Fraunhofer Gesellschaft | Secure distribution of digital representations |
US7236956B1 (en) * | 1999-10-18 | 2007-06-26 | Stamps.Com | Role assignments in a cryptographic module for secure processing of value-bearing items |
JP2004522252A (en) * | 2001-07-19 | 2004-07-22 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | Apparatus and method for reproducing user data |
JP2004220527A (en) * | 2003-01-17 | 2004-08-05 | Hi Sys:Kk | Security method in authentication communication |
EP1903469B1 (en) * | 2003-09-26 | 2017-05-17 | Nippon Telegraph And Telephone Corporation | Tag privacy protecting method, tag device, programs therefor and recording medium carrying such programs in storage |
US20050157872A1 (en) * | 2003-11-12 | 2005-07-21 | Takatoshi Ono | RSA public key generation apparatus, RSA decryption apparatus, and RSA signature apparatus |
US7099477B2 (en) * | 2004-10-21 | 2006-08-29 | International Business Machines Corporation | Method and system for backup and restore of a context encryption key for a trusted device within a secured processing system |
JP2006195791A (en) | 2005-01-14 | 2006-07-27 | Sony Corp | Information processing system, information processing apparatus and method, information delivery apparatus and method, and program |
US20070192140A1 (en) * | 2005-08-17 | 2007-08-16 | Medcommons, Inc. | Systems and methods for extending an information standard through compatible online access |
US8094810B2 (en) | 2006-02-03 | 2012-01-10 | Massachusetts Institute Of Technology | Unidirectional proxy re-encryption |
JP5144991B2 (en) * | 2006-08-22 | 2013-02-13 | 株式会社エヌ・ティ・ティ・データ | Ciphertext decryption authority delegation system |
JP4334580B2 (en) * | 2007-04-09 | 2009-09-30 | 株式会社東芝 | Key management system and key management method |
US8189793B2 (en) * | 2007-08-28 | 2012-05-29 | Panasonic Corporation | Key terminal apparatus, crypto-processing LSI, unique key generation method, and content system |
US8656164B2 (en) | 2009-06-23 | 2014-02-18 | Panasonic Corporation | Authentication system |
WO2012001624A1 (en) * | 2010-07-01 | 2012-01-05 | Ishai Binenstock | Location-aware mobile connectivity and information exchange system |
US8347093B1 (en) * | 2010-07-19 | 2013-01-01 | Google Inc. | Privacy preserving name verification |
US8954740B1 (en) * | 2010-10-04 | 2015-02-10 | Symantec Corporation | Session key proxy decryption method to secure content in a one-to-many relationship |
JP5377540B2 (en) * | 2011-02-17 | 2013-12-25 | 株式会社東芝 | Key management system |
US20130212388A1 (en) * | 2012-02-13 | 2013-08-15 | Alephcloud Systems, Inc. | Providing trustworthy workflow across trust boundaries |
-
2012
- 2012-09-25 JP JP2012211517A patent/JP5395938B1/en active Active
-
2013
- 2013-07-12 SG SG11201502283WA patent/SG11201502283WA/en unknown
- 2013-07-12 WO PCT/JP2013/069179 patent/WO2014050262A1/en active Application Filing
- 2013-07-12 CN CN201380049570.3A patent/CN104704770B/en active Active
-
2015
- 2015-03-25 US US14/668,347 patent/US9813386B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014068165A (en) | 2014-04-17 |
CN104704770B (en) | 2017-12-05 |
US9813386B2 (en) | 2017-11-07 |
US20150200917A1 (en) | 2015-07-16 |
CN104704770A (en) | 2015-06-10 |
WO2014050262A1 (en) | 2014-04-03 |
SG11201502283WA (en) | 2015-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5395938B1 (en) | Cooperation service providing system and server device | |
JP5389212B2 (en) | Re-ciphertext verification program, re-encryption device, and re-encryption system | |
JP5944893B2 (en) | Re-encryption device and program | |
JP5361920B2 (en) | File server system | |
JP5932040B2 (en) | Re-encryption key generation apparatus and program | |
US20090055648A1 (en) | Method of and apparatus for sharing secret information between device in home network | |
US20170085543A1 (en) | Apparatus and method for exchanging encryption key | |
JP5000669B2 (en) | User domain subscription method and information exchange method for digital rights management | |
KR20070029864A (en) | Method and apparatus for securely transmitting and receiving data in peer to peer | |
JP6115573B2 (en) | Cryptographic system, data storage system, and apparatus and method used therefor | |
JP5298394B2 (en) | Dual-function ID-based encryption method and encryption system | |
US20180278417A1 (en) | Apparatus and method for generating key, and apparatus and method for encryption | |
WO2014010202A1 (en) | Encrypted statistical processing system, decrypting system, key generation device, proxy device, encrypted statistical data generation device, encrypted statistical processing method, and encrypted statistical processing program | |
JP2011055309A (en) | Id-based encryption method with double function and encryption system | |
KR101308023B1 (en) | Broadcast encryption method for securing recipient privacy | |
KR101533950B1 (en) | Broadcast encryption method and system | |
KR101373577B1 (en) | Apparatus of id based dynamic threshold encryption and method thereof | |
JP4664692B2 (en) | ENCRYPTION METHOD, DECRYPTION METHOD, ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION DEVICE, AND PROGRAM | |
JP2011114799A (en) | Security system, relay apparatus, security method, and program | |
KR101306211B1 (en) | Method for broadcast encryption based on identification number | |
JP2010141620A (en) | Communications apparatus, server apparatus, communications method, and communications program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130924 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131018 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5395938 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |